Linux Truva Atı Nasıl Tespit Edilir ve Kaldırılır?

Son zamanlarda (yeniden) bu tökezledi:

• Linux Truva Atı Neredeyse Bir Yıl Boyunca Fark Edilmedi (Gerçek dışı IRCd)

Evet, güvenilmeyen bir kaynaktan rastgele PPA / yazılım eklemenin sorun (veya daha kötüsü) istediğini biliyorum. Bunu asla yapmıyorum, ancak birçoğu yapıyor (birçok Linux blogu ve tabloid, süslü uygulamalar için PPA eklemeyi teşvik ediyor, sisteminizi kırabileceğini veya daha da kötüsü güvenliğinizi tehlikeye atabileceğini bildirmeden).

Truva atı veya haydut uygulaması / komut dosyası nasıl algılanabilir ve kaldırılabilir?

Genel bir tarif yok. Sisteminize bilinmeyen bir truva atı bulaştıysa, yapabileceğiniz tek şey yeniden yüklemektir.

Truva'nın belirli bir şekilde çalıştığını biliyorsanız - örneğin, truva atının çekirdeğe bulaşmadığını biliyorsunuz - iyileşmenin daha az sert bir yolu olabilir. Ama bu tamamen truva atının nasıl davrandığını bilmeye bağlı. Sahip olduğunuz tek şey belirtilerse (örneğin, izniniz olmadan spam gönderen bilgisayarınız gibi), genel bir teknik yoktur: truva atı dedektörü, trojan tasarımcısından (ve şanslı) daha akıllı olmalıdır. Truva atları söz konusu olduğunda, tespit ve saklanma silah ve zırh gibidir: teknolojik bir artış vardır ve her iki tarafın da kendine özgü bir avantajı yoktur (ancak saklayıcıların bir başlangıcı olmasına rağmen).

Birçok sistem güvenli bir dağıtım kanalına sahiptir. Örneğin, apt tabanlı araçlarla (apt-get, aptitude, synaptic, yazılım merkezi,…) Ubuntu depolarından bir paket yüklediğinizde, araç paketin Ubuntu'nun güvendiği biri tarafından imzalandığını (denetlendiğini) denetler. (Çoğu dağıtımda benzer bir mekanizma vardır.) PPA'dan bir paket yüklediğinizde, tek yapmanız gereken PPA sahibinin paketi incelemesini sağlamasıdır;

Truva atları ve arka kapılar hakkında Ken Thompson'ın Turing ödül konferansı, Güvene Güvenin Yansımaları bölümünü okumanızı şiddetle tavsiye ederim . Özetlemek gerekirse, derleyiciyi giriş programını derlerken gizli bir şifre ile giriş yapmasına izin veren kod ekleyecek şekilde değiştirdi; daha sonra derleyiciyi değiştirdi, böylece kendisini derlediğinde arka kapıyı eklemek için kodu girecekti; sonra tüm sistemi yeniden derledi (özellikle giriş programı ve derleyici); Sonunda derleyici kaynağını orijinal, tartışılmaz kaynağa geri getirdi. Yine, Ken Thompson'un makalesini okuyun ; belki de en iyi Bruce Schneier'in blog makalesinde yakalanan David Wheeler'ın kontrpuanını da okuyabilirsiniz .

Bu makalede açıklanan "trojan" doğru anlamak "normal" kötü amaçlı yazılım "normal" kötü amaçlı yazılım olarak bulunamadı olamazdı. Bu IRCd, kullanılıncaya kadar normal davranıyordu, bu nedenle yönetici bu güvenlik açığını yalnızca şu durumlarda bulabilirdi: 1) kullanıldığında ve bu delik tarafından yapılan eylem günlüklere girişe neden oldu veya başka bir şekilde görülebildi, 2) kaynak kodunu okudu.

"Gerçek" Linux kötü amaçlı yazılımı, Linux veya AV LiveCD Kurtarma Diskleri için AV yazılımı tarafından da algılanmalıdır, böylece bu yazılımı kullanarak bilgisayarı tarayabilirsiniz. SecureList'te görebileceğiniz gibi listesinde , Linux adında 1941 giriş var ve bu yazılım Kaspersky yazılımı tarafından tespit edilmelidir. Bu listeye hızlı bir bakış, birçok girişin bazı DDoS araçları ve istismarları veya otomatik olarak yayılamayan ve yalnızca saldırı araçları olarak kullanılabileceği (zararlı olmadığı) hakkında olduğunu gösterir.

Kraker tarafından yüklenen arka kapı / rootkit'leri kontrol etmek için dosya sağlama toplamlarını kontrol eden aracı kullanabilirsiniz (temiz sistemde dosya ve sağlama toplamı listesi oluşturmalı ve sunucu yazılımı güncellemesinden sonra güncellemelisiniz). Sağlama toplamı yanlış olan her yeni dosya veya dosya şüphelidir. Sağlama toplamı ve onu oluşturan araç listesi salt okunur ortamda olmalıdır (kraker, örneğin yanlış sağlama toplamlarını gösteren kendi sürümü için md5sum da değişebilir). Kötü amaçlı yazılım bulmanın bu yolu, yazılımın her gün yeni sürüme geçirilmediği 'kararlı' sistemlerde kullanılabilir.

Bazı kötü amaçlı yazılımlar, netstatağ trafiğini kontrol etmek için yerel olarak çalışarak algılanabilir , ancak sistem bulaşmışsa, gösterilen veriler netstatde değiştirilebilir. Bu durumda bazı çözüm ağ trafiğini başka bir bilgisayardan izlemek (örneğin yönlendiriciden, internete hangi trafiğin gönderildiğini kontrol etmek).

SELinux ve AppArmor, trojan / rootkit ve diğer enfeksiyonların önlenmesi için mevcuttur. Ben daha iyi bildiğim SELinux davasını söylüyorum. SELinux etkinken, makineye yüklediğiniz tüm işleme (arka plan programı dahil) bir bağlam verirsiniz. Ayrıca dosya sistemini bağlamla çalışacak şekilde etiketleyerek onları eşleştirebilirsiniz. Bir işlem kendi bağlamında olmayan bir şey yapmaya çalıştığında bir ileti alırsınız ve SELinux zorlama modundaysa eylem tamamlanamaz.
Bu şekilde, ircd trojanınız ps komutunun veya başka bir şeyin (sapmaları önlemek için truva atları / rootkit / solucanlar için ortak strateji) üzerine yazmak istiyorsa, bunu yapmama izin verilmez. Ve size bilgi verilirdi.
Yapılandırmanın zor olduğunu biliyordum, ancak makinelerim şu anda SELinux ile zorlanıyor ve (iki) Fedora dizüstü bilgisayarım çok fazla uğraşmadan bir masaüstünün ihtiyaç duyduğu her şeyi yapabilir.
Ev sunucum bile şimdi zorlama modunda.
Başka bir strateji, temel komutlar için bir sağlama toplamı hesaplayan ve temel komutlardaki değişiklikler hakkında sizi bilgilendiren düzenli bir rootkit dedektörleri çalışmasıdır.
Ben SELinux ve rkhunter etkin (artı bir clamav antivirüs) ile çalışır.

Saygılarımızla

Başka bir yanıt, "saklayıcıların" (gizli kötü amaçlı yazılımlar) "dedektörlere" göre kendine özgü bir avantajı olduğunu iddia etti. Katılmıyorum. Kendinizi kötü amaçlı yazılımları tespit etmek için imzalara veya sezgisel taramalara dayanan algılama yaklaşımlarıyla sınırlandırırsanız bu doğrudur. Ancak kötü amaçlı yazılımı tespit etmenin başka bir yolu daha vardır: bilinen ürünleri doğrulayın. Tripwire, AIDE vb. Diskteki dosyaları doğrulayabilir. İkinci Bakış çalışan çekirdeği ve işlemleri doğrulayabilir. İkinci Bakış, işletim sistemini, etkin hizmetleri ve uygulamaları doğrudan denetlemek için bellek adli tıp kullanır. Bellekteki kodu Linux dağıtım satıcısı tarafından yayınlanan kodla karşılaştırır. Bu şekilde, rootkit'ler ve arka kapılar tarafından yapılan kötü amaçlı değişiklikleri ve yürütülmekte olan yetkisiz programları (truva atları vb.) Hemen tespit edebilir.

(Açıklama: İkinci Bakış'ın baş geliştiricisiyim.)